Научная статья на тему 'Методы анализа рисков информационной безопасности'

Методы анализа рисков информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
509
56
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / РИСКИ / МЕТОДЫ АНАЛИЗА РИСКОВ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Ральникова Наталья Сергеевна

При построении системы защиты предприятия необходимо определить баланс между возможным ущербом от несанкционированной утечки информации и размером вложений, которые потрачены для обеспечения защищенности информационных ресурсов. В данной статье мы проведем сравнительный обзор методов, с помощью которых можно провести анализ рисков на предприятии.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Методы анализа рисков информационной безопасности»

ТЕХНИЧЕСКИЕ НАУКИ

Методы анализа рисков информационной безопасности Ральникова Н. С.

Ральникова Наталья Сергеевна /Ralnikova Natalya Sergeevna - магистрант, кафедра безопасных информационных технологий, факультет информационной безопасности и компьютерных технологий, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, г. Санкт-Петербург

Аннотация: при построении системы защиты предприятия необходимо определить баланс между возможным ущербом от несанкционированной утечки информации и размером вложений, которые потрачены для обеспечения защищенности информационных ресурсов. В данной статье мы проведем сравнительный обзор методов, с помощью которых можно провести анализ рисков на предприятии.

Ключевые слова: информационная безопасность, риски, методы анализа рисков.

Анализ информационных рисков - это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. Другими словами - это вероятный ущерб, который зависит от защищенности системы [1, с. 15].

По статистике, самым главным препятствием на пути принятия мер по обеспечению информационной безопасности являются две причины: ограничение бюджета и отсутствие поддержки со стороны руководства.

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков, например: CRAMM (Великобритания), RiskWatch (США) и ГРИФ (Россия). Рассмотрим далее данные методы и построенные на их базе программные системы.

CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по контрмерам. Оценка рисков проходит в три этапа: определение ценности ресурсов, оценка рисков, поиск и выбор адекватных контрмер. Достоинствами этого комплекса являются возможность использования на всех стадиях проведения аудита безопасности, объемная база знаний по контрмерам и гибкость. Недостатком является необходимость работы высококвалифицированного аудитора.

В RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» и оценка «возврата от инвестиций». RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Процесс анализа из следующих этапов: определение предмета исследования, определение угроз и вероятности их возникновения и оценка рисков. Достоинствами являются: сравнительно невысокая трудоемкость процесса анализа рисков и большая гибкость метода. Из недостатков можно отметить то, что неудобно описывать административно -организационные аспекты рисков.

Оценку рисков программный комплекс «ГРИФ» предлагает проводить двумя разными алгоритмами: при помощи модели информационных потоков либо при помощи модели

угроз и уязвимостей. Алгоритм информационных потоков состоит из следующих этапов: ввод объектов информационной системы (отделов, ресурсов); определение видов пользовательских групп и их прав по отношению к информационным ресурсам; указание средств защиты, которыми защищены ценные ресурсы, и ввод затрат на их приобретение и сопровождение; оценка реального уровня защищенности системы при помощи опросника. Из достоинств можно отметить простоту программного решения при сложнейшем алгоритме. Недостатками является то, что программа не позволяет создавать собственные свойства активов, и ограничена в задании собственных контрмер.

При построении системы безопасности предприятия оценка рисков - это неотъемлемый и очень важный этап, необходимый для оценки необходимости внедрения средств защиты информации и оценки эффективности уже внедренных средств защиты.

Для облегчения анализа и оценки рисков существует множество различных инструментальных средств. Данный обзор программных продуктов анализа рисков поможет выбрать необходимый исходя из цели предприятия в этом направлении, его размеров и наличия квалифицированного персонала.

Литература

1. Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации. М.: ИНФРА-М_РИОР, 2014. С. 15.

2. Симонов С. Современные технологии анализа рисков в информационных системах. М.: PCWEEK, 2001. С. 37.

i Надоели баннеры? Вы всегда можете отключить рекламу.